netwitness-packets-batch
입력 레코드의 session 필드 값을 기준으로 넷위트니스에서 원본 패킷을 조회합니다.
netwitness-packets-batch profile=PROFILE [pretty=PRETTY]
- profile=PROFILE
- 넷위트니스 접속 프로파일 식별자
- pretty=PRETTY
- t 지정 시 아스키 포맷 표시 활성화
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| _time | 날짜 | 시각 | |
| session | 64비트 정수 | 세션 ID | 넷위트니스 세션 ID |
| src_mac | 문자열 | 출발지 MAC | |
| dst_mac | 문자열 | 목적지 MAC | |
| src_ip | IP 주소 | 출발지 IP | |
| src_port | 32비트 정수 | 출발지 port | |
| dst_ip | IP 주소 | 목적지 IP | |
| dst_port | 32비트 정수 | 목적지 포트 | |
| protocol | 문자열 | 프로토콜 | |
| size | 64비트 정수 | 패킷 크기 | 원본 패킷 길이 |
| payload | 바이너리 | 페이로드 | 바이너리 혹은 16진수 문자열 (pretty 옵션 활성화 시) |
| ascii | 문자열 | ASCII 뷰 | 페이로드를 ASCII로 변환한 텍스트 |